[软件逆向]实战Mac系统下的软件分析+Mac QQ和微信的防撤回_项目管理_非技术区_程序员俱乐部

中国优秀的程序员网站程序员频道CXYCLUB技术地图
热搜:
更多>>
 
您所在的位置: 程序员俱乐部 > 非技术区 > 项目管理 > [软件逆向]实战Mac系统下的软件分析+Mac QQ和微信的防撤回

[软件逆向]实战Mac系统下的软件分析+Mac QQ和微信的防撤回

 2017/9/8 15:08:57  tututu_patch  程序员俱乐部  我要评论(0)
  • 摘要:p.p1{margin:0.0px0.0px0.0px0.0px;text-align:center;font:30.0px"PingFangSC";color:#000000}p.p2{margin:0.0px0.0px0.0px0.0px;font:20.0px"HelveticaNeue";color:#000000}p.p3{margin:0.0px0.0px0.0px0.0px;font:11.0px"PingFangSC";color:#000000}p.p4{margin:0
  • 标签:分析 Mac 软件 QQ

class="p1"> 

0x00  一点废话

最近因为Mac软件收费的比较多,所以买了几款正版软件,但是有的软件卖的有点贵,买了感觉不值,不买吧,又觉得不方便,用别人的吧,又怕不安全。于是我就买了正版的Hopper Disassembler然后把这些软件分析一下[滑稽]

 

本文cnblog的图片不怎么清楚,提供高清PDF下载。

https://my.pcloud.com/publink/show?code=XZKaIy7ZS5cfJax4mih0UCu985wrczJ17du7

 

0x01 所需工具

 

调试工具

Hopper Disassembler (最好正版)

内核追踪

dtrace(系统自带)

 

0x02 QQ防撤回

 

 先把QQ的主程序拽到我们的Hopper里边,等待它全部分析完,没分析完的时候,右下角有一个红色的Working。它分析完后大概是这个样子。

 

 这时候我们需要寻找一个撤回的类。QQ的这个撤回的类叫QQMessageRevokeEngine(QQ消息撤回引擎)。我们继续查找这个类下面的方法。

 

这个时候发现该类有如下方法:

[QQMessageRevokeEngine init]

[QQMessageRevokeEngine onDidChangeAccount]

[QQMessageRevokeEngine handleRecallNotify:isOnline:]

[QQMessageRevokeEngine getProcessor]

[QQMessageRevokeEngine revokeMessage:completion:]

[QQMessageRevokeEngine handleRevokeC2CMsgResp:completion:]

[QQMessageRevokeEngine handleRevokeGroupMsgResp:completion:]

[QQMessageRevokeEngine setC2CReqWithMsgArray:drawReq:]

[QQMessageRevokeEngine setClusterReqWithMsgArray:drawReq:]

[QQMessageRevokeEngine .cxx_destruct]

 

 

 

发现init方法,这个是初始化的方法,我们只需要将这个方法给return掉,整个撤回引擎就没用了。

方法头部ret,然后保存测试下,这里会问你是否移除签名,直接移除即可。

保存替换原文件。 

和手机端对比下。

 

 

 

 

 

 

0x02 微信防撤回

QQ防撤回差不多所以这里不细说,先载入Hopper。查找onRevoke关键字,找到MessageService onRevokeMsg:这个方法,直接return。但是有一点需要注意,就是微信Hopper分析的时间有点长。 

 

 

保存测试。

  

 

 

 

 

0x03 商业软件分析

  QQ和微信都是很好解决的毕竟有Revoke这个关键字,但是接下来我们分析的这个软件,是个VPN连接工具,需要动态内核追踪。因为当时我找不到它的类关键字。

 

首先,直接打开软件发现这个窗口。提示我们需要激活license

看来,我们需要先把这个窗口干掉。

先载入Hopper,发现所有跟License有关的方法都在NUShimo这个类里边。

 

 

那我们就使用dtrace监听这个NUShimo类。关掉Hopper,打开一个终端窗口。

打开我们的试用软件。先获取PID然后用dtrace开始监听试用软件。

 

 

然后 发现: 

 

 

NUShimo的这个applicationDidBecomeActive方法好像可以patch掉。

 

 

 

看一眼伪代码发现确实是弹那个激活的窗口的方法。直接头部ret

保存,然后测试一下。

确实不弹需要注册的窗口了,但是还是不能连接VPN 

 

看来还得处理这个弹框啊,这个弹框我就懒的用dtrace追踪了,使用字符串查找方法吧。 

我们看到它弹的是 You need to activate什么什么的,Hopper搜索这个字符串。

 

 

 

继续追踪调用这个字符串的地方。

 

 

 

 

再次查找上层调用。 

 

发现来到了这个地方。 

 

发现这个,看一眼伪代码。 

 

发现只要让这个if成立就可以跳过这个框。 

这个je跳转是关键跳,直接改成jne。然后保存测试执行。 

 

OK成功,这样虽然显示无效的liense和试用到期,但是依然可以连接VPN

 

 

 

本文来自 突突兔@Nixi_Team

尊重版权,转载请通过本人许可。

发表评论
用户名: 匿名